如今,随着医疗数智化的不断深入,医共体网络、远程医疗网络、区域医疗网络、互联网医院等系统建设日益普及,医疗信息系统从基础应用进阶到智能医疗阶段。医疗机构对医疗软件采购、外包开发以及调用第三方开发资源的需求日益增加。
然而,随着医疗软件供应链的延伸和参与方的增多,潜在的安全风险也随之攀升,例如——
1、软件供应链各环节风险
数字医疗软件通常依赖于多个供应商和合作伙伴,包括软件开发商、硬件供应商、云服务提供商等,这些环节中每个环节都可能存在潜在的安全风险。
2、软件交付安全风险
数字医疗软件的交付过程中可能存在不安全的通信渠道,导致软件在传输过程中被篡改或者植入恶意代码。
3、第三方组件安全合规风险
数字医疗软件通常使用第三方组件和库来加速开发过程,但这些组件可能存在漏洞和安全隐患,如果没有及时更新和管理,可能会成为攻击者入侵的目标。
4、恶意代码攻击风险
数字医疗软件可能会受到恶意代码的攻击,比如病毒、木马、勒索软件等,这些恶意代码可能会对医疗系统造成危害
这些风险可能对医疗机构的运营管理、患者的生命健康与隐私保护、医疗设备的精准控制等方面构成威胁。例如:软件供应链遭受攻击可能导致患者隐私数据的泄露、临床应用功能丧失、数据传输中断造成的信息遗漏、网络攻击引发的数据传输延迟,以及数据篡改引发的误诊等问题,若不加以妥善处理,极易酿成重大的医疗事故,如以下图中所展示的安全案例。
因此,加强医疗软件供应链安全管理,已成为保障医疗服务质量和患者安全的当务之急。
医疗场景软件供应链安全治理思路
(一) 完善安全制度,”因地制宜“ 搭建医疗软件供应链安全标准与管理指南
根据医疗机构实际情况(业务类型、行业属性、部门要求等),进行安全需求设计。为内外部所有软件系统(自研/外包/外采/联合开发等),在供应商审核、开发、交付、上线、更新迭代等场景,设置软件供应链安全检测技术标准与检测规范,搭建供应商管理制度体系与指南等。
(二)高效识别隐患、有效预防风险,建立高安全性能的软件体系
数字化背景下,软件以广泛集成第三方组件为主要开发模式,从生产到交付给用户使用,面临软件技术、供应关系和识产权安全风险。Log4j 等安全事件使得软件供应链成为了安全焦点,为提高安全水平,在软件生产、交付、使用全周期,除了进行供应商管理之外,仍需采取安全检测、运营管控等安全应对措施。
首先,搭建软件供应链安全技术支撑平台,落实软件供应链安全技术标准。在采购、上线、运营等各环节,全方位识别软件供应链安全风险,把住软件入口。
其次,搭建软件供应链风险管控平台,提升安全运营管控能力。实现软件供应链安全检测数据沉淀与关联分析,对软件安全合规性等进行深入分析,通过可视化数据图表与多维度数据分析仪表盘,形成统一的软件资产风险视图,搭建“软件资产库”。
最后,建立常态化安全风险预警机制,时刻关注业界最新漏洞态势,建立实时更新的漏洞管理库。业界漏洞实时情报数据匹配软件资产,快速定位软件产品可能存在的新的安全风险。